शुरू करने से पहले
अगर यह आपका पहला सीएएसए है, तो खाता बनाने और लॉगिन करने के लिए, ईमेल किए गए निर्देशों का पालन करें.
सीएएसए सबमिट करने के लिए, आपको क्या-क्या चाहिए:
-
सीएएसए टियर 2 की सूचना का ईमेल
-
इंडस्ट्री सर्टिफ़िकेशन (अगर कोई है)
-
एएसटी कॉन्फ़िगरेशन फ़ाइलें. यह स्कैन करने की नीति का एक्सपोर्ट, स्कैन किए गए सीडब्ल्यूई के स्क्रीनशॉट या ऐसा कोई भी सबूत हो सकता है जिससे पता चलता हो कि आपने किस चीज़ के लिए स्कैन किया है.
-
सादे टेक्स्ट (.txt) फ़ॉर्मैट में AST स्कैन के नतीजे.
अगर आपने कस्टम टूल का इस्तेमाल किया है, तो:
-
OWASP बेंचमार्क के नतीजे (ज़्यादा जानकारी)
सीएएसए पोर्टल का इस्तेमाल शुरू करना
पोर्टल का पहली बार इस्तेमाल करने वाले लोगों के लिए, टीयर 2 सीएएसए अपने-आप जनरेट हो जाएगा. पोर्टल के होम पेज से, किसी भी समय नए आकलन बनाए जा सकते हैं.
केस खोलने पर, आपको शुरू करें पेज पर ले जाया जाता है. यहां आपसे इन चीज़ों का अनुरोध किया जाता है:
-
प्रोजेक्ट के संपर्क का नाम (नाम और उपनाम)
-
प्रोजेक्ट से संपर्क करने के लिए ईमेल पता
-
प्रोजेक्ट से संपर्क करने के लिए फ़ोन नंबर
-
कानूनी इकाई का नाम
-
वेबसाइट
-
आकलन का टाइप ("नया" या "फिर से आकलन")
-
ऐप्लिकेशन का दायरा
-
Google का प्रोजेक्ट आईडी
इस जानकारी का इस्तेमाल यह पता करने के लिए किया जाता है कि आपके आवेदन के दायरे में सीएएसए से जुड़ी कौनसी शर्तें लागू होती हैं. साथ ही, इसकी मदद से पुष्टि का पत्र जारी करने के लिए, ऐप्लिकेशन से जुड़ा ज़रूरी मेटाडेटा इकट्ठा किया जाता है.
ध्यान दें: CASA प्रोग्राम शुरू करने के 30 दिनों के अंदर, पुष्टि की समीक्षा के लिए सीएएसए सबमिट करना ज़रूरी है. समयसीमा बढ़ाने के अनुरोधों का आकलन, अलग-अलग मामलों के हिसाब से किया जाता है.
सीएएसए पोर्टल के टीयर 2 अपलोड
पहले और दूसरे चरण में इकट्ठा किया गया सारा सबूत अपलोड करें. इसमें इस तरह का कॉन्टेंट शामिल है:
-
सीएएसए को स्वीकार किए जाने वाले मौजूदा सुरक्षा फ़्रेमवर्क
-
एएसटी कॉन्फ़िगरेशन फ़ाइलें
-
xlsx, csv, xml या pdf फ़ॉर्मैट में AST स्कैन के नतीजे
-
OWASP मानदंड के नतीजे (*सिर्फ़ कस्टम या वैकल्पिक AST स्कैन के लिए)
ध्यान दें: सीएएसए को तेज़ी से बढ़ाने के लिए, सुरक्षा फ़्रेमवर्क का इस्तेमाल करना ज़रूरी नहीं है. साथ ही, पुष्टि के लिए भी इनका इस्तेमाल करना ज़रूरी नहीं है. ज़्यादा जानकारी के लिए, पहले चरण पर जाएं.
क्या आपको मदद चाहिए? सीधे किसी सीएएसए विशेषज्ञ से बातचीत करने के लिए, पोर्टल में मौजूद "मैसेज" की सुविधा का इस्तेमाल करें. जवाबों के लिए ईमेल सूचनाएं, पोर्टल में लॉग इन करने के लिए इस्तेमाल किए गए ईमेल पते पर भेजी जाती हैं.
रिमाइंडर: टीयर 2 की पुष्टि के लिए, कोड को स्कैन करना ज़रूरी है. पुष्टि के दौरान, Google के साथ किसी भी तरह के ऐप्लिकेशन कोड, स्कैन के नतीजे या जोखिम की आशंका से जुड़ा कोई नतीजा नहीं शेयर किया जाता और न ही इसके बारे में बताया जाता है.
सीएएसए पोर्टल पर अपने-आप पुष्टि करने के लिए सर्वे
पोर्टल, दिए गए इनपुट की पुष्टि करेगा और खुद की पुष्टि करने के लिए, बाकी ज़रूरी शर्तों का सेट उपलब्ध कराएगा. ये शर्तें, सीएएसए चैप्टर के हिसाब से तय की गई हैं. जिन उपयोगकर्ताओं ने सुरक्षा से जुड़े कई फ़्रेमवर्क का इस्तेमाल करके सीएएसए प्रोसेस को तेज़ किया है उनके लिए, खुद की पुष्टि करने की ज़रूरत नहीं पड़ सकती. इन मामलों में, पोर्टल का अपने-आप पुष्टि करने वाला सर्वे वाला हिस्सा नहीं दिखेगा.
ज़्यादातर मामलों में, कुछ ही दस्तावेज़ों के लिए खुद की पुष्टि करना ज़रूरी होगा. इन ज़रूरी शर्तों के लिए, जवाब देने वाले 3P (तीसरे पक्ष) के डेवलपर को सीएएसए की ज़रूरी शर्तों से जुड़े सवालों की सीरीज़ में "हां, नहीं, लागू नहीं" खुद प्रमाणित करना होगा.
डेवलपर के पास टिप्पणी करने का फ़ील्ड होता है. इसकी मदद से, वह हर जवाब के लिए यह बता सकता है कि ऐप्लिकेशन किसी ज़रूरी शर्त को पूरा करता है या नहीं. सीएएसए स्वीकार करने की शर्तों में, रेफ़रंस के तौर पर उदाहरणों का एक सेट दिया गया है. हालांकि, इसमें और भी उदाहरण शामिल हो सकते हैं.
ध्यान दें: ऐसे सवालों में बदलाव न करें जो अपने-आप "ज़रूरी शर्तों से पूरा किया गया" के तौर पर भरे जाते हैं. ये विकल्प, टीयर 2 अपलोड सेक्शन में दिए गए जवाबों के आधार पर, सीएएसए पोर्टल के ज़रिए अपने-आप चुने जाते हैं.
टीयर 2 की पुष्टि कराने के लिए, आपको ये काम करने होंगे:
-
सीएसए की ज़रूरी शर्तों से मैप किए गए ऐसे सभी सीडब्ल्यूई को ठीक करें जो पास नहीं हुए हैं
-
स्कैन नहीं किए जा सकने वाले सीएएसए की ज़रूरी शर्तों के हिसाब से खुद प्रमाणित करना
आकलन से जुड़ी सभी ज़रूरी शर्तों को पूरा कर लेने के बाद, सीएएसए पोर्टल डेवलपर को पुष्टि के लिए दस्तावेज़ सबमिट करने का अनुरोध करेगा.
प्रोसेस पूरी करें